Ransomware Italia: il muro delle vittime

Indice

Sono così tanti gli attacchi alle aziende italiane da parte dei ransomware che la notizia sta cominciando a perdere di significato. Ci si sta abituando ad un vero e proprio bollettino di guerra che non risparmia le grandi e le piccole, le private dalle pubbliche e alla fine il risultato è un’assuefazione da cui sarebbe meglio tenersi alla larga.

Il muro delle vittime

Ecco un esempio di alcune vittime italiane di ransomware, non sono disposte con un particolare ordine. Ci sono aziende private accanto a pubbliche amministrazioni, aziende che detengono dati finanziari accanto a quelle che detengono dati sanitari. Insomma i target sono, per certi versi, tutti uguali anche se a fare la differenza è la rilevanza del dato esfiltrato.

Anche per questo motivo è stato attivato, qualche anno fa ormai, un osservatorio ransomware specifico per le aziende italiane. Ciò che è sembrato subito evidente è che gli attacchi ransomware sono concentrati nelle regioni più ricche d’Italia, quelle più industrializzate e con un reddito più elevato. Questa idea è stata confermata dai dati degli attacchi che sono stati tutti censiti e analizzati.

La tabella di distribuzione degli attacchi

Regioni come la Lombardia, il Piemonte, il Lazio, sono al centro di una costante offensiva che mira ad ottenere un profitto tramite il riscatto. Uno degli ultimi esempi più calzanti è quello dell’azienda del trasporto pubblico veneziano AVM, attaccata da un ransomware per il quale l’azienda ha trattato con gli hacker. L’editoriale La Nuova racconta così l’accaduto.

Attacco hacker al sito di una nota azienda di trasporti e noleggio barche del centro storico. Preso in “ostaggio” l’archivio con la contabilità e l’anagrafico storico e chiesto un riscatto: 8/9000 euro in Bitcoin. Inizia una trattativa e i pirati sono pronti a scendere a 3500. Il dialogo procede per qualche giorno. La risposta della ditta veneziana non lascia margini di dialogo perché è un chiaro no.

Fonte: La Nuova di Venezia e Mestre (LINK)

La trattativa offre margini di convenienza ma non dovrebbe essere percorsa

La trattativa permette una riduzione del costo notevole, se analizziamo il report “CONTI Modus Operandi and Bitcoin Tracking” della ClearSky Cyber Security & Whitestream ltd, pubblicato nel febbraio 2021, possiamo apprendere alcune cose molto importanti. Una tra queste è che in un caso di riscatto milionario, gli hacker sono stati disposti a scendere del 70% rispetto alla cifra iniziale. La stima iniziale, probabilmente eseguita su file non esatti o previsionali ma non realistici, è stata oggetto di trattativa fino a fissare un importo nettamente più basso.

Eppure il pagamento del riscatto non dovrebbe essere la strada percorribile. Il condizionale, in questi casi, è d’obbligo perché non tutte le aziende anno approntato le giuste misure di protezione. Qualcuno forse ricorderà, nel 2020, il caso dell’azienda “The Heritage Company” che nel vano tentativo di riprendersi da un violento attacco ransomware, inviò successivamente una comunicazione ai dipendenti:

Abbiamo lavorato diligentemente nelle ultime due settimane per riorganizzarci nel tentativo di riprenderci dall’incidente informatico, e anche se abbiamo fatto progressi, c’è ancora molto lavoro da fare. Con questo in mente, non vogliamo impedirti di cercare un altro lavoro. Per favore, abbi cura di te e dei tuoi cari, e buon anno.

The Heritage Company aveva 61 anni di anzianità e quindi avrebbe dovuto avere una gestione IT consolidata, matura e robusta. Invece l’attacco ha impedito all’azienda di riprendere la giusta operatività, costringendo ad avviare i licenziamenti.

La protezione è possibile

Ad agosto 2021, su questo sito, è stata pubblicata una semplice guida che spiegava come tutelarsi dai Ransomware. Quei consigli sono più che mai validi e ogni azienda (pubblica e/o privata) dovrebbe provvedere ad implementare quelle misure di protezione del dato. Quando un ransomware rende inaccessibili i dati, la domanda che dovrebbe farsi chiunque lavori nel comprato ICT dovrebbe essere essere come posso ripristinare i miei dati. Se a questa domanda la risposta fosse non posso, sarebbe necessaria una grande dose di auto-critica.

I ransomware rendono inaccessibili i dati alla stregua della rottura di un disco, di un apparato o di un supporto di memorizzazione. La necessità di recuperare i dati deve essere sempre percorribile, indipendentemente dall’azione dolosa del ransomware. Non avere questa facoltà, significa non aver operato correttamente nella gestione del dato. Le regole ci sono, basta osservarle.